一、需求分析
大型组织机构往往在全国乃至全球范围内存在众多分公司、办事处等分支机构，随着互联网的发展和用户对网络访问的迫切要求，将所有分支机构的上网流量通过总部统一出口接入Internet的方式已经越来越少，反之“分布上网”即总部和分支机构各自拥有独立的Internet出口的网络结构越来越普遍，“分布上网”改善了分支机构员工上网的速度和上网体验，但随之而来的上网行为管理要求也变得迫切起来。

由于不受控的互联网访问行为给组织带来了诸多问题，所以越来越多务实的管理者考虑在Internet出口处部署上网行为管理设备。但对于“分布上网”的组织来说，在总部、分支机构部署多台上网行为管理网关后却又面临着新的问题，主要包括如下：
1. IT管理者如何对网络效能和行为进行统计、分析、评估？
2. IT管理者缺乏对整网用户上网行为分布、流量分布等情况的统计和认识；
3. IT管理者如何控制上班时间无关网站浏览等非工作网络访问行为？
4. IT管理者如何杜绝通过Email、MSN、QQ等途径潜在的泄密行为,需要监控？
5. IT管理者如何管控BT、PPLive等P2P行为，避免其严重占用带宽，同时如何为业务系统和关键用户保障带宽资源的分配，提升带宽利用率？
6.IT管理者如何避免网络造谣、恶意言论和发贴等法律问题，并在发生问题时有据可查？
7.分支机构缺乏专业IT人员，如何实现设备的快速部署？
8. 总部派遣专业IT人员到分支机构实施设备，成本巨大、周期长；
9. 由于无法对分支设备进行统一管理，组织机构的上网管理策略就无法统一；
10. IT管理者缺乏对各分支设备运行状况的了解，缺少维护管理手段；
11. 分支增加带来管理成本的上升，导致网络规模越大，管理成本也越高；
12. 全网众多设备的版本升级、补丁加载等耗费IT部门太多的时间和精力；
NETSYS AC-Q针对大型组织机构在目前网络中出现的问题，提出全网部署众多上网行为管理网关设备来改变客户的网络现状，另外提供了业界最为领先的集中管理平台解决方案。它通过集成最全面的管理和技术手段，彻底解决了大型组织机构面临的部署、管理、监控、升级以及日志方面的问题。

二、解决方案
2.1组网拓扑
公司在全国拥有多个分支机构，各个分支机构通过独立的网络出口访问外部网络，总部希望通过统一的策略配 置和下发，保证公司整个网络的健康运行。另外希望实现能全部查看公司所有上网行为管理设备的记录日志的查看具体的网络拓扑如下：

 
部署说明：在总部内网部署一台上网行为管理集中管理设备，在多个分公司部署上网行为管理，图中三个分公司部署分别为网关、网桥，网关和网桥部署都是对内网进行访问和流量的控制，上网行为的记录。

2.2方便快速的部署
大型组织单位在全网实施多台上网行为管理网关时首先遇到的是如何快速方便部署的问题。由于多数分支机构并没有专业IT人员负责设备的配置、调试等操作，同时如果从总部派遣IT人员到分支机构实施无疑增加了额外成本和导致项目周期过长。通过NETSYS AC-Q集中管理平台妥善的解决了该问题。
分支机构人员只需简单配置AC-Q设备的IP、网关、路由等基本网络信息，确保AC-Q能够与Internet连通后，将总部集中网管服务器的地址填入即可。在总部网管服务器与分支AC-Q建立连接后，分支AC-Q设备的所有其他配置选项完全可以通过总部集中网管服务器实现配置和管理，无需分支人员在参与，从而帮助大型组织快速、方便的部署多台AC-Q网关设备。

 
 2.3 集中管理
众多分支机构部署的多台上网行为管理网关设备日常维护、配置、调试由谁负责？组织机构要求的统一上网行为管理策略如何确保在分支机构得到贯彻和执行？通常情况下组织的IT部门往往只能要求分支机构配备本地设备管理员，并通过行政制度等迫使该分支管理员在本地贯彻组织统一的上网策略，但这其中的弊端显而易见。
而组织机构通过使用AC-Q集中管理平台，总部可以将全网的成百上千台AC-Q上网行为管理网关设备集中管理。总部的IT管理人员通过编辑AC-Q “模板”上的相关配置，并通过一次鼠标点击实现全网指定AC-Q设备上相关配置的统一和更新，既方便了管理同时又确保了策略的一致性。
而对于某些分支AC-Q设备上部分配置与其他分支AC-Q不同时，IT管理者同样可以通过集中网管服务器对此类AC-Q设备进行单独编辑和配置的单独下发。从而实现集中化和个性化的灵活性要求。

 
2.4实时监控
部署于总部的集中管理平台通过集中监控模块可以查看全网所有分支AC-Q设备的运行状态，包括该分支AC-Q设备是否在线（是否由于分支机构人员为避免被AC-Q管控而故意将其断电下架？）、CPU利用率（设备性能是否满足分支当前网络规模？）、内存占用率（硬件设备是否有升级的必要？）、数据包收发统计（分支机构是否遭遇DOS攻击或流量管理策略过于粗放？）等信息。缺乏实时监控的总部IT部门只能等到分支机构人员报告故障时才会匆忙应对，不仅降低工作效率，同时降低了分支机构人员的满意度和影响SLA达标；而通过集中监控功能，总部IT人员可以实时发现分支机构AC-Q的运行状态，及时定位问题所在，为全网用户提供一个更稳定、更高效的互联网访问环境。

 
2.5智能升级
大型组织机构的IT人员往往有类似经历：为了避免对用户正常访问网络的影响，IT人员在周末凌晨仍然守候在机房内对设备进行升级，每升级完毕一台设备就需要长时间的Ping等测试是否升级成功、网络可用性是否受到影响等。对于全网众多分支机构部署的多台上网行为管理设备的升级是否依然如此麻烦？尤其基于互联网升级一旦出现操作等失误将直接导致无法远程连接该设备，怎么办？
集中管理平台的智能升级功能已经为客户想到了。加载升级包，设定时间计划，并勾选需要升级的分支AC-Q设备，集中网管将帮您自动完成，并通过实时监控模块显示被升级的分支AC-Q设备的运行状态、是否在线等情况，极大的方便和简化了IT人员的工作量。

2.6日志集中
您无法决断是否允许A分支机构提交的出口带宽扩容申请；内部邮件被泄露到公网上，您却仍然不知是B分支内员工所为；直到网监部门的追查，您才意识到C分支的网络违法行为已经发生多日。如何避免类似的尴尬处境？
各分支机构部署的AC-Q网关已经内置大容量存储设备，以此可实现大量上网行为日志的本地存储，并通过内置数据中心方便对日志的查询、记录、统计等操作。同时分支AC-Q网关上记录的行为日志还可以集中同步到总部实现日志的集中管理与存储，同时通过总部的独立数据中心功能，通过多种图形化报表统计系统实现对用户上网行为分布的知悉、对分支机构网络出口带宽、流量TOP N应用的了解、对关键行为日志的快速检索和定位等功能。

 
 
三、总结
用于管理全网众多AC-Q网关设备的NETSYS AC-Q集中管理平台同样为大型组织机构提供了稳定、可靠、功能完善的集中管理解决方案，帮助组织实现更高效、可控、客观的全网上网行为管理。
通过统一的策略的制定与下发，统一集中的设备管理方式保证机构各个环节严格按照总部的相关要求进行上网活动，集中网管服务器动态组网和多线路技术保证集中管理的稳定可靠运行，从而保障系统网络的畅通运行，另外通过强制身份认证的方式保证了系统日志信息的安全，为机构的保密提供了更好的保障。这样真正帮助客户实现了细致而全面的上网行为管理。